Se ha detectado un bug en el plugin de WordPress Contact Form 7, el cual ocasionaba un grave problema de seguridad.
Comunicado Contact Form 7:
Contact Form 7 5.3.2 has been released. This is an urgent security and maintenance release. We strongly encourage you to update to it immediately.
An unrestricted file upload vulnerability has been found in Contact Form 7 5.3.1 and older versions. Utilizing this vulnerability, a form submitter can bypass Contact Form 7’s filename sanitization, and upload a file which can be executed as a script file on the host server. This issue has been reported by Jinson Varghese Behanan from Astra Security.
Se ha publicado el formulario de contacto 7 5.3.2. Esta es una versión de seguridad y mantenimiento urgente. Le recomendamos encarecidamente que lo actualice de inmediato.
Se ha encontrado una vulnerabilidad de carga de archivos sin restricciones en Contact Form 7 5.3.1 y versiones anteriores. Utilizando esta vulnerabilidad, un remitente de formularios puede omitir la desinfección del nombre de archivo de Contact Form 7 y cargar un archivo que se puede ejecutar como un archivo de secuencia de comandos en el servidor host. Este problema ha sido informado por Jinson Varghese Behanan de Astra Security.
Si utilizas este plugin para gestionar tus formularios de contacto, es imprescindible que accedas a tu WordPress y actualices el plugin de manera inmediata.